CVE-2024-43369 in fieldtype-richtextinformação

Sumário

de VulDB • 31/05/2026

O tipo de campo RichText do Ibexa é um tipo de campo destinado a suportar texto formatado rich armazenado em um formato XML estruturado. Nas versões da ramificação 4.6 anteriores à 4.6.10, o validador do tipo de campo RichText utiliza uma lista negra para bloquear `javascript:` e `vbscript:` em links, a fim de prevenir XSS. Isso pode deixar outras opções expostas, e a verificação pode ser contornada usando letras maiúsculas. São necessárias permissões de edição de conteúdo para conteúdo RichText para explorar esta vulnerabilidade, o que tipicamente significa a função Editor ou superior. A correção implementa uma lista branca (allowlist), permitindo apenas protocolos de link aprovados. A nova verificação não diferencia maiúsculas de minúsculas (case insensitive). A versão 4.6.10 contém um patch para este problema. Não há workarounds conhecidos disponíveis.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

09/08/2024

Divulgação

16/08/2024

Moderação

aceite

Entrada

VDB-274823

CPE

pronto

EPSS

0.00367

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!